Mes de los fallos en Twitter


La saga El mes de los fallos en comenzó en julio de 2006, cuando H.D Moore decidió dedicar un mes completo a publicar vulnerabilidades no parcheadas en los navegadores, a razón de una al día. La iniciativa, por lo original y relevante de la propuesta, fue todo un éxito. Otros investigadores le siguieron, creando el mes de los fallos en los núcleos (de cualquier sistema operativo) en noviembre de 2006, el mes de los fallos en Apple en enero de 2007... y algunos otros. Ahora es el momento de la Web 2.0.





Aviv Raff usará julio de 2009 como el mes de los fallos en Twitter. Su objetivo, como el de todos estos meses temáticos, es el de mejorar la seguridad a través de la presión mediática, y no solo la de Twitter. El resto de plataformas 2.0 puedan aprender algo de los problemas ajenos y por tanto prevenir. Por ejemplo, algunas de las vulnerabilidades encontradas hace tres años en el "Mes de los fallos en los navegadores" se creían "simples fallos" en el sentido de que no podían ser aprovechadas por atacantes. El hecho de hacerlas públicas llamó la atención de ciertos creadores de malware y consiguieron finalmente,
meses después, aprovechar algunos de estos "bugs" para ejecutar código. En ese sentido supuso una buena alarma sobre los "bugs" a los que no se les da demasiada importancia.

"Month of Twitter Bugs" (MoTB) se centra en la API de Twitter, pero según Raff, bien podría tratarse de cualquier servicio 2.0 del momento. twitpwn.com es el dominio elegido para alojar el blog que publicará las vulnerabilidades. Raff reconoce que algunas vulnerabilidades son lo suficientemente peligrosas como para que se pueda crear un gusano, así que avisará con 24 horas de antelación al fabricante para que puedan ser corregidas. El blog es seguido por personal de Twitter, que participan en los comentarios activamente. De hecho, han corregido en cuestión de horas fallos ya publicados.

A medida que el escritorio se entiende menos sin conexión remota y se traslada hacia la red (o "la nube", como término de moda) y la línea que separa aplicaciones y servicios se difumina (casi siempre detrás de un navegador) no es de extrañar que las páginas y APIs de estas webs sean objetivo de ataques. Campañas llamativas como esta pueden ayudar a desvelar y prevenir vulnerabilidades, pero desde luego no las eliminarán. En el mundo de la programación y la informática en general se tiende insidiosamente a tropezar en la misma piedra siempre que se tiene la oportunidad. Por ejemplo, a medida que los sistemas operativos se han protegido (tarde, pero lo han hecho en cierta medida) contra ataques y malware, parece que nadie más a aprendido la lección, y los
servicios en remoto que hoy en día se puede decir que forman parte de "la nube" (que a su vez forma parte del escritorio) parecen condenadas a repetir el mismo error.

Más información:

Month of Twitter Bugs
http://aviv.raffon.net/2009/06/15/MonthOfTwitterBugs.aspx

TwitPwn (ab)using twitter since 2008!
http://twitpwn.com/

Fuente:
Sergio de los Santos
http://www.hispasec.com



Otras noticias de interés:

La geolocalización ¿Atenta contra la vida privada?
Los gigantes de internet Google y Facebook, que optaron por la geolocalización como pilar de su desarrollo, se aventuran más allá de los límites de la vida privada de los internautas, advirten alarmados los expertos y las Organizaciones No Gubern...
¿Qué falla en Linux? Según Shuttleworth, la usabilidad
Mark Shuttleworth, creador de Canonical y responsable del desarrollo de la distribución Ubuntu, participó en las conferencias LinuxCon para hablar de los problemas que afectan a la adopción del sistema operativo Linux en el escritorio....
Curso para principiantes en UBUNTU (Parte 13 - 14 - 15)
Jesús Conde continuando con sus Videos Tutoriales sobre el uso de Ubuntu habla de: Las líneas de comandos, Shell, la terminal de Gnome, como trabajar con archivos y directorios, cambios de permisos....
Vulnerabilidad en Microsoft HTML Help Workshop (.HHP)
Microsoft HTML Help Workshop es una herramienta que permite la creación de archivos de ayuda de Windows y también páginas Web que utilizan controles de navegación....
Virus: engranajes de una cadena criminal
Los virus se convierten en engranajes de una cadena criminal donde las grandes empresas son la víctima más débil....
Actualización de las 20 vulnerabilidades más críticas
SANS Institute acaba de publicar al versión 6.0 de su guía sobre las 20 vulnerabilidades de seguridad más críticas. Hace ahora cuatro años, SANS Institute conjuntamente con el FBI publicó un documento donde se describían las diez vulnerabili...
Cajeros automáticos basados en Windows, un riesgo y amenaza a la Vista
Distintas compañías de seguridad hablan sobre los problemas de seguridad que sufren los cajeros automáticos basados en Windows, desde poder usar en ellos las contraseñas por defecto del fabricante, hasta instalarles troyanos o software de monitor...
Actualización de Firefox y Thunderbird versión 1.5.0.7
Mozilla Foundation ha publicado la nueva versión 1.5.0.7 de su navegador Firefox y cliente de correo Thunderbird. Entre otras mejoras destaca la corrección de varias vulnerabilidades de seguridad....
Gmail deja ver la lista de contactos a un usuario local
Se puede leer en googlemania el siguiente artículo: Esta mañana leyendo mi correo he recibido un mensaje de Lostmon en el que me comentaba que había podido acceder a su lista de contactos de GMail directamente e...
Conectarse a cualquier wifi es dejar las llaves a un desconocido
Hay equipos de ladrones profesionales dedicados a robar información o dinero a usuarios y empresas», afirma el experto informático. El mundo digital ha abierto puertas que antes no existían; el mal está a golpe de una tecla....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fallos
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • twitter
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra